А ось і перші порушники GDPR

20 липня CNIL, орган, відповідальний за GDPR-страшилки у Франції, видав перші 2 попередження за порушення GDPR. Перші 2 в історії за перші в історії (виявлені) порушення. Прилетіли такі попередження стартапам — Fidzup та Teemo. Компаніям із непоганим портфелем венчурних інвестицій, призначеними посадовими особами із захисту персональних даних (тут) та пафосними релізами про GDPR-комплаєнс (тут).

Ці попередження — чудова можливість для юристів озброїтися раціонально-практичними аргументами: для чого готувати тонну документів та рекомендацій, пов’язаних з GDPR.

Кому першому не пощастило

Давайте чесно, ми всі чекали, коли хтось попадеться. Багато хто тримав пальці схрещеними “тільки не нас, тільки не нас”. І ось перші попалися.

Обидві компанії — не випадкові мішені невблаганного фатуму. Погодьтеся, регулятору було важко пройти повз гучні маркетингові заяви, на кшталт “4 долари за тисячу користувачів для вашого сайту” або “4 тисячі доларів за мільйон користувачів”.

Чи то така політика, чи то попередній скандал з Cambridge Analytica (нагадування тут) привернули увагу до обох стартапів. Але обидва стартапи, описані як схеми “заплати-за-дані” (pay-for-data), уже давно були в полі зору медіа. Про них писали BuzzFeed (тут), обидві компанії потрапили до Звіту Yale Privacy Lab — Єльського гуртка за інтересами, пов’язаними з персональними даними. Де, крім цих компаній, також згадувалися DoubleClick, Braze, Millennial Media та інші. Крім цього, у травні Apple прибрав із App Store усі додатки, які використовували послуги Teemo та Fidzup.

Цього було замало. Здається, хлопці гадали, що кожен учасник компанії має абсолютний дипломатичний імунітет і прививку від GDPR. Однак, таке викривлене тлумачення Віденської конвенції про дипломатичні зносини та неправильне розуміння основ вакцинації не сподобалося CNIL. Який і дав кожній із них 3 місяці, аби взятися за розум.

Що було не так?

Обидві компанії займалися геотаргентингом. Для цього вони збирали геолокаційні дані осіб — користувачів мобільних додатків, які належали B2B-партнерам Fidzup та Teemo. Обробка персональних даних починалася одразу після завантаження додатку партнера. Працювало це так: завантажується додаток –> збираються дані –> обробляються дані -> приходять pop-up windows таргетингової реклами –> здійснюється авторизація в додатку (можливо) і нарешті –> надається згода на певну обробку (можливо).

Що у цій схемці не комільфо?

• Те, що останні 2 елементи цього ланцюжка стоять наприкінці, а не 2- чи 3-ми відповідно.
• А хіба це не проблема власників додатків, що вони не одержали згоду?
• Не зовсім. У цьому ланцюжку Fidzup та Teemo збирали дані та визначали мету їхньої обробки. Мова йде про дані, одержані внаслідок факту завантаження певних аплікашок. За це — заслужений титул контролера (володільця) даних. І в частині збору геолокаційних даних саме дует Teemo-Fidzup повинен нести відповідальність за порушення GDPR.

Детальніше про кожну з компаній

Teemo використовував SDK (такий собі інструмент), за допомогою якого оброблялися дані геолокації користувачів додатку (точніше — завантажувачів додатку) та унікальний рекламний ID. Це відбувалося без відома юзерів і ще до того моменту, коли певний додаток був запущений. Якщо партнери вже давно випустили додаток на ринок і мали своїх користувачів, Teemo’s SDK починав збирати дані користувачів після першого оновлення додатку (авжеж, без повідомлення юзерів). З урахуванням даних, які накладалися на обрані клієнтами points of interest, користувачам відправлялася таргетингова реклама.

Схожим чином, Fidzup із використанням іншого SDK обробляв рекламний ID та технічну інформацію гаджета (MAC-адресу). Ці дані передавалися бізнес-клієнтам, які (за рахунок утиліти Fidbox) могли також запускати таргетингову рекламу, коли юзери наближалися до обраних бізнесами точок продажів.

В обох випадках публічні документи додатків не могли надати користувачам інформацію, звідки ця реклама береться. Повідомлення про обробку даних також не вказувало на особу контролера даних — Fidzup чи Teemo відповідно.

Ще трохи про вимоги до згоди, або урок для прийдешніх поколінь

GDPR каже: згода повинна полягати у вільному, конкретному, поінформованому та однозначному бажанні особи, щоб її персональні дані оброблялися. Така згода повинна стосуватися однієї або кількох цілей обробки. Згода повинна надаватися до початку обробки даних.

Щодо обох випадків CNIL сказав, що не дотримано жодної з умов GDPR-сумісної згоди.

Насамперед згода не була надана до початку обробки, а це ж просто канонічна вимога!

Згода, яку дав користувач, не була вільною. Вона стосувалась усіх випадків обробки і була вбудована в сам факт авторизації в додаток (по-іншому не запустиш). Крім того, завантаження додатку було нерозривно пов’язано із завантаженням SDK.

Згода не була конкретизована. Юзер не міг обрати конкретні види обробки, із якими він погоджується, а з якими — ні. Насправді, мало хто робить це нормально (дорогувато, кажуть, а ще частіший аргумент — страшнувато на вигляд на сайті потім), але все ж така диференціація згоди makes sense. Не всі хочуть маркетингові розсилки та включення даних до CRM-системи.

Згода не було інформованою. адже не містила інформації про використання даних для таргетингової реклами третіми особами. До моменту завантаження додатку не було жодного повідомлення, що дані почнуть оброблятися вже і зараз.

Здавалося б, у нашому випадку уже достатньо порушень. Та проблеми були не лише зі згодою, принаймні в Teemo.

Строк зберігання або золоте правило “Не перетримай”

Teemo обробляло дані впродовж строку, який не виправданий метою такої обробки. Це другий висновок CNIL, що стосується активного використання геолокаційних даних протягом (а тепер слухайте, поборники 10-річних строків!) 13 місяців.

CNIL провів тест на пропорційність (а юристи це роблять в “Оцінці легітимних інтересів контролера”) і зазначив: право на повагу до приватності тут точно переважає. Чому?

Тому що використання таких тулкітів, які допомагають таргетувати особу 13 місяців поспіль, є серйозним втручанням у приватність. Також така обробка допомагає також стежити за людьми у великих масштабах. А раптом ще така інформація, наприклад, внаслідок витоку даних (data breach), потрапить до рук зловмисників?

Тепер увесь цей аналіз потрібно добряче обдумати стартапам. Надано їм для цього 3 місяці, достатньо, щоб тричі зняти фільм “Три білборди під Еббінгом, Міссурі”.

Ми ж також подумали. І задалися питанням:

Що стає очевидно необхідним для тих організацій, які не хочуть стати Teemo-Fidzup?

1. Розберіться з потоками даних в межах організації. Вистачить банальних запитань та excel-таблички: звідки, від кого, куди, для чого і як довго? Перші запитання, на які треба відповісти. Можна залучити і юриста.
2. Перевірте, на що ви покладаєтеся, збираючи дані (дипломатичний імунітет володільця даних чи все ж на згоду користувача). Якщо на згоду, тоді перегляньте, що передбачає така згода та що ви при цьому повідомляєте користувачу. Можливо, вам підійде взагалі інша підстава для обробки, зокрема, ваші легітимні інтереси.
3. Подбайте про строки зберігання і, за можливості, підготуйте retention policy. Не зберігайте довше, ніж потрібно. Можливо, вам узагалі не потрібні персональні дані користувачів.

Цього повинно вистачити для початку. Принаймні, щоб не опинитися на шпальтах Le Monde.

Якщо ж ви просто користувач різних додатків, знаєте французьку і не хочете, щоб вашу локацію знали в недобросовісних компаніях, скористайтеся порадами CNIL, які мали б допомогти зберегти вашу приватність (тут).

А поки компанії-ньюзмейкери обіцяють все виправити набагато швидше, ніж протягом наданих 3 місяців, ми ще раз дивимося на типові запитання, які чують юристи

• “Ви порадили технічні заходи, підготували для нас внутрішні політики. Ми розмістили публічні документи у футтері, зробили pop-up вікно. Для чого це все, якщо нікого не штрафують?”.
• “Ви радите обмежити строк зберігання даних. Невже не можна просто зберігати маркетингові дані, допустимо, 10 років? Або стільки ж, скільки розкладається поліетилен. Хто це взагалі перевірить?”.
• “Хіба GDPR не лише для того, щоб притиснути до стіни Google, Facebook і інших прислужників Великого брата? Ми ж маленькі, ми в хатці”.

Короткі відповіді для запам’ятовування: треба, орган, не лише для того.

Наостанок

Нещодавно Associated Press разом із Прінстонським університетом провели розслідування щодо Google. Із результатами можна ознайомитися, зокрема, на the Guardian.

Відповідно до цього розслідування, Google, не заперечуючи цього, збирає геолокаційні дані в процесі користування продуктами Google. Навіть якщо користувач змінив налаштування так, щоб такі дані не збиралися.

Щось нагадує? 20 млн. євро?

Originally published at axon.partners.